squid virtualisé ou pas , mais dédié faisabilité ?

Avatar de l’utilisateur
merlin2000fr
Messages : 2140
Inscription : ven. 12 janv. 2018 17:44

squid virtualisé ou pas , mais dédié faisabilité ?

Message par merlin2000fr »

salut salut


je suis entrain de cogiter pour mettre ne place un proxy sur mon réseau sur une vm.
mon questionnement est que je vois de partout des intégrations sur les router/pare-feu, hors je sais que cela doit etre possible. d'ou le quid de qui aurait deja monter une vm ou un machine dédié à cela ?

je m'explique je ne veux pas ajouter sur mes router/pare-feu squid and co que si je ne peux pas faire autrement. (la mort dans l'ame)
donc l'idée de monter une vm peu importe le virtualiser, débian de préférence mais je m'adapterais, de telle sorte que toutes les machines clientes de mon réseau lan/wifi/... passer par elle pour filtrer les accès des mes tetes blondes qui commence à vouloir regarder ce qui se passe sur le web (que c'est louable me diriez vous).

le hic principal pour moi est que j'ai un cluster pfsense et pas sur que toutes les règles et paramétrages se synchronisent bien vu que se sont des addon ajouter a pfsense.
la vm sera elle sécurisée car hébergé sur un cluster de nas qui héberge mes vm et le basculement en cas defaut se fait presque sans anicroche.

Merci d'avance
Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Re: squid virtualisé ou pas , mais dédié faisabilité ?

Message par Zedoune »

pourquoi tu veux mettre squid ?
Avatar de l’utilisateur
merlin2000fr
Messages : 2140
Inscription : ven. 12 janv. 2018 17:44

Re: squid virtualisé ou pas , mais dédié faisabilité ?

Message par merlin2000fr »

squid ou un autre qui
- filtre les sites
- catégorie des sites en fonction des ages

par exemple
Avatar de l’utilisateur
Zedoune
Messages : 15343
Inscription : ven. 12 janv. 2018 17:44

Re: squid virtualisé ou pas , mais dédié faisabilité ?

Message par Zedoune »

Tu vas pas pouvoir filtrer tout le trafic https à part en bloquant directement au niveau des requêtes DNS, ou de faire du MITM en forgeant des faux certificats SSL à la volée pour chaque nouveau domaine rencontré (jamais fait mais c'est bancal et compliqué il me semble).

Sinon, suffit de mettre une règle dans le pf qui redirige toutes les requêtes http / https (ports 80 et 443) vers le squid, sauf quand ça vient du squid. C'est expliqué dans le package squid sur freebsd :)

Par défaut avec le https, squid sert de passe plat et ne sait pas ce qui se passe.
phraide
Messages : 25
Inscription : mer. 14 févr. 2018 21:06

Re: squid virtualisé ou pas , mais dédié faisabilité ?

Message par phraide »

Squid+squidguard sont intégrés "nativement" au pfsense. ca facilite pas mal ... un click pour activer le mode transparent (80 -> pfsense:3128) meme si c'est crade, les sites https vont gueuler.
Ce que je faisais :
- devices en IP fixes fournies par le dhcpd de pfsense
- squid/squidguard avec ACL différentes selon les devices
- option 252 du dhcp pour fournir l'url vers un wpad.dat
- activation du mode transparent tout de meme, si des malins tentent par exemple de passer en ip fixe leur device, avec une ip autre que celle attribuée par le dchp ils arriivent sur une ACL par défaut ayant tout de bloqué.
apres ca reste un filtrage par device, pas par personne derriere...
Avatar de l’utilisateur
merlin2000fr
Messages : 2140
Inscription : ven. 12 janv. 2018 17:44

Re: squid virtualisé ou pas , mais dédié faisabilité ?

Message par merlin2000fr »

salut salut

je te remercie phraide mais tu ne réponds pas vraiment à ce que je pose comme question, ce que tu dis je le connais déjà mais je ne voudrais pas passer par cette solution.
je pensais avoir été claire dans mon questionnement, il semble que non.

en résume monter un vm ou un machin dédié pour filtrer les acces, sans devoir l'installer sur mon cluster pfsense ^^
phraide
Messages : 25
Inscription : mer. 14 févr. 2018 21:06

Re: squid virtualisé ou pas , mais dédié faisabilité ?

Message par phraide »

ah oui c'etait clair désolé :o

je suis en train de virer ma vm pfsense qui me les brise.
pfsense -> boitier gl-inet openwrt à 20€
dhcp -> pihole dockerisé
filtrage -> squid/squidguard dockerisé avec les memes features que ce que me faisait pfsense
kalistyan
Messages : 14259
Inscription : ven. 12 janv. 2018 17:44
Localisation : LYON
Contact :

Re: squid virtualisé ou pas , mais dédié faisabilité ?

Message par kalistyan »

:hello:

Qu'est-ce qui pourrait t’empêcher de l'installer sur un PC/MV dédié(e) ?

Voici deux systèmes complets, à toi de n'utiliser que le filtrage.
=> https://www.sophos.com/fr-fr/products/f ... ition.aspx
=> https://www.simplewallsoftware.com/#services

Celui-ci est dédié au filtrage, http://www.artica.fr/download-proxy.php

Bon setup !
Répondre